вы пытаетесь мне рассказать как работает SSL? разберитесь сначала сами. и прочитайте внимательно хотя-бы заголовок топика: даже в его нынешнем «желтушном» виде он не имеет ничего общего с тем, что вы несёте.
вообще после изучения краткого курса по защите информации я бы посоветовал почитать то, что написано в топике по второй ссылке.
если вы отдаёте свой ssl-сертификат конторе «рога и копыта», то ей проще скопировать файл сертификата, чем мучить свой же сервер.
и ещё посоветую вам хотя-бы раз купить что-нибудь в инет-магазине и проследить, на чьём сайте вы вводите данные карточки.
в случае с онлайн-шоппингом вы имеете в виду?
тогда для того чтобы стырить вашу кредитку, атакующему придётся вскрыть ваш компьютер и подключиться к шине питания процессора.
с случае передачи данных от банкомата — аналогичную операцию придётся проделать и с его железом.
рассматриваемая атака будет незаметна только для смарт-карт и прочих небольших устройств, где легко манипулировать питанием.
грозит это в основном разным DRM-решениям (именно в них применяется такая схема).
вам не должно быть страшно, если вы конечно не шпиён/диссидент, и не получаете шифровки из центра на свой iPhone.
P.S.: как бы суть опубликованного исследования не во «взломе RSA» а в аккуратной реализации атаки на основе ошибок железа. Т.к. предсказан такой класс атак был давно, и много по этому поводу теоретизировали.
Сейчас же придумали новый подход к такому виду атак и реализовали по отношению к определённому железу (FPGA-based SPARC).
да, я тоже надеюсь что пофиксят быстро.
к тому же я уверен, что сами разработчики не такие кретины как модераторы их форума, и они понимают, чем грозит переполнение буфера.
P.S.: на форуме оперы модератор и один операфагупорный товарищ говорят, что несмотря на то что это buffer overflow, они не считают это багом пока не будет публичного PoC выполняющего код.
Хороший им ответ из того же форума:
If there's a gaping hole in your roof, and someone tells you that your carpet is going to get wet come the rainy season, do you tell them that obviously they're wrong, because your carpet is currently dry and the skies are clear?
странно, но вот эта штука валит оперу www.securitylab.ru/poc/extra/391363.php
полезной нагрузки (remote code execution) у меня не получилось, но выпадает опера стабильно
Пока что неизвестно, насколько лучше платная программа Peanut Butter Pointer, чем эта разработка. Перспектива регуляно её инсталлировать и без следов деинсталлировать через 2 недели специальным деинсталлятором сильно снижает желание её исследовать и ею пользоваться.
А просто купить (если за 15 дней понравится) религия не позволяет?
К тому же, если бы я советовал программу другому человеку, менее разбирающемуся в ПО, то я бы предложил ему сразу воспользоваться коммерческим продуктом, чем объяснять все тонкости установки бесплатного.
Это конечно отлично. Но только что сейчас попробовал ввести номер своей посылки, и после нажатия кнопки [найти] получил «Ошибка 404. Страница не найдена»
а я вижу. меня тоже бесят клиенты, которые стучатся в чат вместо того, чтобы написать письмо. т.к.:
1. я могу быть уже не на работе, а дома, и занят личными делами.
2. я могу ответить на e-mail не торопясь, доделав текущие задачи.
поначалу я отвечал на вопросы пользователей через чат. но сейчас я обычно отправляю вежливым тоном написать мне письмо с подробным описанием проблемы.
Но лечится это легко: дополнительным фильтром по питанию и добавлением ranodm’a к данным. либо проверкой данных перед их выдачей
нет, не приводите. пойдите лучше в школу, немного поучитсь.
за сим умываю руки. можете пугать хомячков сколько хотите, но им на самом деле ничего не грозит.
вообще после изучения краткого курса по защите информации я бы посоветовал почитать то, что написано в топике по второй ссылке.
если вы отдаёте свой ssl-сертификат конторе «рога и копыта», то ей проще скопировать файл сертификата, чем мучить свой же сервер.
и ещё посоветую вам хотя-бы раз купить что-нибудь в инет-магазине и проследить, на чьём сайте вы вводите данные карточки.
и какой симметричный ключ в RSA? подучите матчасть.
тогда для того чтобы стырить вашу кредитку, атакующему придётся вскрыть ваш компьютер и подключиться к шине питания процессора.
с случае передачи данных от банкомата — аналогичную операцию придётся проделать и с его железом.
рассматриваемая атака будет незаметна только для смарт-карт и прочих небольших устройств, где легко манипулировать питанием.
вам не должно быть страшно, если вы конечно не шпиён/диссидент, и не получаете шифровки из центра на свой iPhone.
Сейчас же придумали новый подход к такому виду атак и реализовали по отношению к определённому железу (FPGA-based SPARC).
1. Заголовок «Взломано 1024-битное шифрование RSA» — сам алгоритм не взломан, найдена уязвимость в реализации.
2. эта штука переводится как «секретный ключ»
3. такой тип атак уже широко известен, и не только применительно к RSA: см. вики
к тому же я уверен, что сами разработчики не такие кретины как модераторы их форума, и они понимают, чем грозит переполнение буфера.
операфагупорный товарищ говорят, что несмотря на то что это buffer overflow, они не считают это багом пока не будет публичного PoC выполняющего код.Хороший им ответ из того же форума:
полезной нагрузки (remote code execution) у меня не получилось, но выпадает опера стабильно
За базар отвечаю©
мне например даже на пакетик светодиодов за 5$ выслали трекинг-код
А просто купить (если за 15 дней понравится) религия не позволяет?
К тому же, если бы я советовал программу другому человеку, менее разбирающемуся в ПО, то я бы предложил ему сразу воспользоваться коммерческим продуктом, чем объяснять все тонкости установки бесплатного.
p.s.: пардон за тавтологию в предыдущем посте ;)
1. я могу быть уже не на работе, а дома, и занят личными делами.
2. я могу ответить на e-mail не торопясь, доделав текущие задачи.
поначалу я отвечал на вопросы пользователей через чат. но сейчас я обычно отправляю вежливым тоном написать мне письмо с подробным описанием проблемы.